第二部分内部控制第六章评价内部控制——第404条款评估主要内容:6.1《萨奥法案》404条款6.2404条款下的控制目标和风险6.3我国内部控制制度的评价补充:企业内部控制应用指引企业内部控制审计指引6.4财务报表审计中内部控制的评价6.5PCAOB框架第1节萨班斯——奥克斯利法案第404条款SOA404条款:管理层对内部控制的评价SOA404条款要求在SEC备案的公司要有一份内部控制年度报告,以作为向SEC提交的财务报告的组成部分。提交的内部控制报告要求:1.陈述管理层为财务报告制定和保持适当的内部控制结构和规程的责任;2.保留财务报告编制者对于内部控制结构和规程在最近会计年度末是否有效的评估报告。SOA要求公司管理层要报告其内部控制报告,公共会计师事务所要证明这些内部控制报告。6.1萨班斯——奥克斯利法案第404条款一、启动404条款遵循性评审:确认关键流程二、启动404条款遵循性评审:内部审计的角色1.主导作用,确认关键流程、记录内部控制,并对这些控制开展适当的测试。2.充当外部审计师的支持资源;3.开展项目审计。三、启动404条款遵循性评审:组织评审项目404条款遵循性审核过程:1.组织404条款遵循性项目方法2.制定项目计划项目计划要注重于涵盖组织所有业务部门的主要营运领域。遵循性评审项目的工作步骤:见教材P115表6.13.选择和评审的关键流程选择的依据:对组织产生重大损失或费用、资产规模、对财务资源的中要程度等流程评审的选择方针:教材P116表6.2针对404条款内部控制评审的计划考虑事项教材P116表6.3流程评审选择指南6.1SOA404条款4.记录选定的流程交易流要用文本记录关键交易流和控制点,要有详细的流程描述。5.确认、记录和测试关键的内部控制。6、评估选定流程风险。7.运用恰当的测试程序来评估控制效果。8.同关键的利益相关者一道来审核遵循性结果。9.完成内部控制结构有效性的报告。6.1SOA404条款一、制定内部控制矩阵表6.6(教材p125-126)控制矩阵范例主要内容:归纳控制点相关风险相应的认定控制类型控制重要程度(高、中等)第2节404条款下的控制目标和控制风险手工控制应用程序控制预防性控制检查性控制二、测试404条款内部控制(内部控制测试具体方法在第16章中讨论)第2节404条款下的控制目标和控制风险第三节我国内部控制制度的评价我国内部控制规范.pdf第二部分例1收入——授信管理风险和暴露·授予不恰当(比如,太松或太紧)的贷款。·给虚构的借款人贷款。未经授权装运货物授信管理的审计目标·确定授信管理职能是否得到恰当管理。·确定授信控制是否在运用上存在不一致的地方,从而阻止了向信誉良好的客户开展的有效销售。例1收入——授信管理控制或控制程序·客户背景证实,财务报表分析,授信职能和销售职能要职务分离(PC)。·批准抵押物担保(PC)。·测试样本贷款文件是否适当、完整(DC)。·未经授权装运货物。·授信、开单和装运职能要职务分离(PC)。例1收入——授信管理授信管理的审计程序在制定授信额度之前要保证对所有新客户进行一次全面的调查。核实根据每个客户的所适用的财务和经营背景信息建立的信用文件。核实所有客户的授信额度是持续地得到检查、更新和使用的。在接受客户销售订单前,确保订单经过授信部门的审核批准。单个客户的要求超出授信额度时,要经过更高一级授权管理人员的审核。以下这个属性抽样的例子将确定授信部门是否在需要时对赊销要求进行信用调查。一个可能的情况是:单个销售人员可以批准授信并可以获取和发送产品,以使销售增加。此后,应收账款的坏账也随之增加。一个适当的矫正方法是对授信进行独立审核和批准。选出具有代表性的销售订单和相应的发票,然后确定:(1)授信扩大的条件和数额是否在授权的限度内;(2)当授信额度和/或条件超出应有范围时,在接受订单之前要经过合理的授信审批。将那些收到的授信历史记录同拒绝的授信历史记录进行比较,评价控制的适当性。例2证券——现金管理风险和暴露·从事并隐瞒未经批准的支付。·电子现金转账系统中存在舞弊。·空白支票的遗失或失窃。现金管理的审计目标·确定现金收入是否安全保管,并及时存到指定银行账户。·确定现金收入的实物安全控制、管理控制和系统控制是否适当和恰当。·确定现金支付是否按照管理层特定指令,只向经过授权的接收者支付。·确定零用现金支出和退还活动的控制是否适当。例2证券——现金管理控制或控制程序分离开立支票和银行往来对账职能的职责(PC,DC)。双重控制,系统存取控制,系统回复和转账请求确认(PC,DC)。建立空白支票存储的实物安全控制(PC)。现金管理的审计程序1.确保公司或部门的到期应收款邮寄到银行存款箱,并存到公司的银行账户中。审核所有现金收入是否都清楚地标明来源(比如,银行存款箱和债务)。确保所有开立的银行账户都经过公司的资金部门授权。例2证券——现金管理2·确保所有涉及银行在授权和保兑现金收入时收到的指令都经过正确的程序,包括姓名和授权个人的签字。审核系统记录,确定是否存在向指定银行以外的银行登记现金收入的企图,并确定管部门对此采取的措施。审核数据文档访问控制措施,核实电脑访问权限是否受到主要工作职责的限制。核实所有数据文档访问都通过访问密码,或其他形式的访问人身份验证而记录在系统中。确保现金管理系统产生每日的交易记录,以反映所有的处理活动。3·审核有关负责应用现金的人员的职务分离,测试从而确保他们不从事以下活动:核对银行账户;打开收到的邮件;编制、记录、邮寄或批准付款单据;编制、签名、邮寄或发送工资单或其他支票;进行应付票据或任何其他债务证据的处理工作。关于汇款收入,审核从而确保它们由出纳、应收账款或开票人员以外的人接收。确保在打开邮件时进行详细记录,并且由第三人调整至账面分录和存款单。例2证券——现金管理4·关于非汇款收入,确保它们是通过以下程序预先列示和说明的:通过确认用于签发的收据表格,使用的现金登记簿,预先编号的收据表格来准备机器磁带,并且测试的所有收据和预先列示的内容都在现金收入日记账中连续记录。5·为了确保所有收到的支票都限制背书,并且现金都及时使用和存储了,执行以下审计测试:审核现金使用和存储程序的适当性和完整性;确保现金收入及时记录和储存;确保接触现金收入仅限于该程序的每个阶段对现金有保管责任的人;确保现金收入储存到应收账款账户,而不同其他资金混合;确保编制存款备忘录,描述收入的性质,并在收到每一批支票时都报告会计部门;确保工资或个人支票不从现金收入中支取;确保未存银行的收入限制背书,并且受到有效的实物安全控制(如锁、钥匙和保险柜)以防遗失或失窃;确保现金按托收委托书而不是现金票据过账到具体的应收款账户;例2证券——现金管理确保所有其他资金或证券的保管与负责使用现金的职责分离;确保有足够的安全措施以防止处理现金的人员通过记录假折扣或补贴来盗用现金;确保因资金不足未付的退回支票直接送到负责的职员(或其他出纳)处进行调查;确保进行托收的分公司或部门把这些资金储存到只能由母公司或总公司撤销的银行账户中,确保有适当的实物安全措施和设施(如保险箱、禁区)来保护现金;确保接收和处理现金的人员有适当担保,并且有年度假期。6·审核电子现金转账系统,观察签署程序、输入的指令和产生的记录。审核记录程序以确定在实际处理和记录程序中是否有差异存在。适当的评价的现金转移程序。测试从而确保所有现金转移都经现金管理部门和综合会计部门的书面批准,并由银行向授权方保兑。7·审核发给现金支出银行的指令的适当性和一致性。核实可以转账的银行名单已经同授权建立银行账户的资金函(eeas唧1ener)进行过对账,如果存在差异,调查并调整差异。审核确定是否已经存在向未经授权银行转移资金的企图。讨论可以发现这种企图的控制措施,并评价其可行性。确定所有现金转移都经银行确认,审核收到的确认证明,并与会计和现金管理部门的记录对账。尤其是审核每日现金交易业务记录,确保它们同原文件和确认单一致,确保任何调整都经管理层审批。8·确定银行对账单是否迅速、准确地编制。9·确保银行结单由对账部门直接从各个授权银行接收。选出一个银行账户对账单的样本并执行下列审计测试:观察这些信息都有银行报表和总分类账的支持;确定使用的对账格式和指定的格式一致;核实差异已经处理;测试对账表由负责对账的人及时处理并签字。例2证券——现金管理10.为了测试对账中的差异如何解决,执行下列审计测试:确保所有调整都有文件证明;确保文件前后对照;审核会计部门纠正分录的传送;核实不平衡情况得到迅速地调查并纠正。审核银行对账单经由管理层签字批准。11·为确保注销支票有批准签字,审核一个签署支票的样本,确定签名是公司签名簿中授权的。12·为确保处理零用金的人支付和收取的现金是基于批准的文件,且经过及时、准确的记录,执行下列审计测试:审核已经建立的与支付零用金有关的程序,评估其适当性;确保支付给职员的预付资金经过批准;确保已经确定个人可以支付的零用金最大限额;确保零用现金凭单,每一笔支出都要编制,有足够的支持,用墨水书写或打印,标明日期,详细说明支付款项,清楚地表明支付金额,由接收现金的人签字;确保所有证明现金支取的文件都注销,以防重复使用。13·审核退还请求和相关的凭单同既定的程序保持一致。特别是证实所有支持性的凭单都包含经过授权的批示,单个凭单累计总额是准确的,所有凭单和支付性凭证在退还时都要注销,以防重复使用。例2证券——现金管理补充:内部控制指引.pdf内部控制评价指引.pdf内部控制审计指引.pdf案例中石化内部控制.PPT内部控制评价报告实例——劲嘉股份内部控制评价报告第4节内部控制审计内部控制审计目标内部控制审计的内容与对象内部控制审计步骤文档化上述认定所对应的控制活动内部控制审计目标基于内外部信息使用者的不同需要内部控制审计目标分两类:满足外部信息使用者的对企业内部控制信息的需要满足企业管理的要求内部控制审计主要以企业内部审计部门为审计主体,在结合自己经营特点的基础上,通过系统化、规范化的方法来评价企业内部控制在识别、分析、评价、控制企业风险以及企业内部控制目标实现程度等方面进行一系列的审核活动,以便企业实现内部控制系统的目标。内部控制审计的功能:“查漏补缺”“再生重建”“检查评价”“监督咨询”内部控制审计内容内部控制审计的内容;对企业内部控制制度设计的合理性以及运行的有效性进行测试和评估。一、内部控制审计的步骤编制审计计划;评价经营者的内部控制评价过程;了解财务报告内部控制;测试和评价财务报告内部控制的设计有效性;测试和评价财务报告内部控制的运行有效性;形成关于:①经营者的评价过程②财务报告内部控制是否有效的意见;编制审计报告。评价步骤:复核内部控制文件复核经营者的测试内部控制运行的程序1.评价经营者的内部控制评价过程与所有重要的F/S项目相关的认定所对应的控制活动的设计,包括内部控制5要素,如控制环境和公司层次控制;关于重要的交易如何开始、批准、记录、处理以及报告的信息;关于交易流程的足够信息用以识别因错误或舞弊引起的重要错报可能发生的环节;为预防或发现舞弊而设计的控制活动,包括控制活动的执行人以及相关职务的分离;与期末财务报告过程有关的控制活动;与资产维护有关的控制活动;经营者的(内部控制)测试和评价结果。复核经营者内部控制评价报告经营者是否恰当地陈述了关于建立健全财务报告内部控制的责任?经营者用于评价内部控制的框架是否合适?经营者关于内部控制有效性的评价中是否不存在重大的错报?经营者的内部控制报告的表达方式是否符合格式要求?所识别的财务报告内部控制中的重大缺陷,包括期间已纠正的重大缺陷在内,是否得到恰当地披露?图表6-3经营者评价过程决定要评价的控制项目测量虚假反映的风险决定评价的范围评价控制的设计有效性评价控制的运行有效性确定重要的控制缺陷评价发现事项